汽车行业PV专营店无线网络建设方案

1、 汽车行业PV专营店无线网络建设方案目录 TOC o 1-3 h z u HYPERLINK l _Toc8980881 一、项目需求 PAGEREF _Toc8980881 h 3 HYPERLINK l _Toc8980882 1. 需求概述 PAGEREF _Toc8980882 h 3 HYPERLINK l _Toc8980883 2. 项目范围 PAGEREF _Toc8980883 h 5 HYPERLINK l _Toc8980884 二、整体组网方案 PAGEREF _Toc8980884 h 7 HYPERLINK l _Toc8980885 1. 网络总体架构 PAGER

2、EF _Toc8980885 h 7 HYPERLINK l _Toc8980886 2. 数据中心组网架构 PAGEREF _Toc8980886 h 8 HYPERLINK l _Toc8980887 3. 专营店内部组网结构 PAGEREF _Toc8980887 h 10 HYPERLINK l _Toc8980888 4. 专营店以及外展AP选型 PAGEREF _Toc8980888 h 12 HYPERLINK l _Toc8980889 5. 总部和专营店连接模式 PAGEREF _Toc8980889 h 13 HYPERLINK l _Toc8980890 6. 无线信号设

3、计 PAGEREF _Toc8980890 h 21 HYPERLINK l _Toc8980891 7. 无线安全设计 PAGEREF _Toc8980891 h 23 HYPERLINK l _Toc8980892 三、短信和微信认证（城市热点后台） PAGEREF _Toc8980892 h 30 HYPERLINK l _Toc8980893 1. 相关功能组件 PAGEREF _Toc8980893 h 30 HYPERLINK l _Toc8980894 2. 用户注册认证流程 PAGEREF _Toc8980894 h 30 HYPERLINK l _Toc8980895 3.

4、微信认证原理 PAGEREF _Toc8980895 h 31 HYPERLINK l _Toc8980896 4. 短信认证原理 PAGEREF _Toc8980896 h 33 HYPERLINK l _Toc8980897 5. 最终交付拓扑结构及系统功能 PAGEREF _Toc8980897 h 33 HYPERLINK l _Toc8980898 四、后台管理 PAGEREF _Toc8980898 h 36 HYPERLINK l _Toc8980899 1. 网络层面数据分析 PAGEREF _Toc8980899 h 36 HYPERLINK l _Toc8980900 2.

5、 认证后台数据分析 PAGEREF _Toc8980900 h 39 HYPERLINK l _Toc8980901 五、产品清单 PAGEREF _Toc8980901 h 43 HYPERLINK l _Toc8980902 六、解决方案优势 PAGEREF _Toc8980902 h 46 HYPERLINK l _Toc8980903 1. Aruba Instant无线网络解决方案 PAGEREF _Toc8980903 h 46 HYPERLINK l _Toc8980904 2. Aruba Instant无线网络优势 PAGEREF _Toc8980904 h 46 HYPER

6、LINK l _Toc8980905 3. 针对本项目的特别优势 PAGEREF _Toc8980905 h 48 HYPERLINK l _Toc8980906 七、上网审计网关解决方案（可选） PAGEREF _Toc8980906 h 51 HYPERLINK l _Toc8980907 1. 部署架构 PAGEREF _Toc8980907 h 51 HYPERLINK l _Toc8980908 2. 审计网关 PAGEREF _Toc8980908 h 53 HYPERLINK l _Toc8980909 3. 测试效果 PAGEREF _Toc8980909 h 56 HYPER

7、LINK l _Toc8980910 八、产品说明 PAGEREF _Toc8980910 h 61 HYPERLINK l _Toc8980911 1. AirWave无线网络管理平台 PAGEREF _Toc8980911 h 61 HYPERLINK l _Toc8980912 2. IAP-103 PAGEREF _Toc8980912 h 63 HYPERLINK l _Toc8980913 3. RAP-109 PAGEREF _Toc8980913 h 68 一、项目需求1. 需求概述 当今互联网技术在飞速发展，东风日产希望借助先进的Wi-Fi技术，实现PV专营店的包括员工考勤、

8、客户上网、客流分析、微信营销等业务功能。 以下是本项目的需求概述：需求重要度客户可通过短信、微信、QQ、微博等进行认证必选客户认证方便性重要未认证前仅可访问PV官网、微信扫一扫，认证后可访问任意网站必选微信扫PV微信服务号或公众号二维码后，关注即上网必选一次认证、多次体验（二次到店及到其他4S店无需再次认证）必选客户可在店内无线漫游必选专营店专营店端有不同的级别访问权限（对客户、专营店内部员工）必选可与PV后台的DLR人员数据库联动必选客户一个SSID，办公一个SSID重要员工不允许连接客户SSID，客户不允许连接SSID可选web portal页面可根据模板由专营店定制重要满足82号令要求必

9、选AP设备“零配置”重要可看到任意时间段内连接WIFI的客户MAC、手机号、微信号必选可看到任意时间段打开WIFI但未连接网络的客户MAC重要客户后续到店，进门即发信息给业代，可知第几次到店，是否去过其他4S店重要客户IP：专营店有DHCP设备，则DHCP设备提供；无DHCP则由AP提供重要无线AP可提供USB接口，用于接入4G上网卡/无线AP可直接接ADSL可选提供专营店互联网出口带宽建议及说明必选可推送广告（上网页面），可根据专营店进行广告定制可选不同AP推送不同广告内容可选客户个人信息（手机号、微信号等）与手机MAC可形成对应关系重要与专营店库存系统联动可选专营店可对到过店的客户进行微信

10、营销、短信营销推广重要WIFI平台专营店端，要提供能录入客流批次功能，用于批次客流分析报表查询重要PV总部可在合同签订后3周内所有设备到货（总部、专营店）重要保证五年之内的同型号或同等功能设备持续供货能力及价格平稳重要厂家的平台及第三方平台具备标准API接口满足开发需求必选可按区、省、市、店等不同条件查看连接或未连接无线的客户MAC地址或信息必选提供总部端需要扩展的互联网出口带宽建议及说明必选可看到督导、专营店关键岗位人员到店考勤信息必选提供无线监控功能。可看到每个专营店无线AP覆盖范围、AP状态信息重要专营店无线AP出现故障时系统立刻提醒，并以短信方式或邮件方式通知到相关负责人员重要提供现场

11、培训及后续运维人员培训必选微信营销上是否可以提供更多的服务可选无线AP支持802.11n，双频必选无线AP故障时如何快速对应必选后台操作界面友好，中文版面重要大范围成功案例说明重要软件的营销分析功能方便性重要对收集到客户数据进行数据分析，并推送给专营店重要要有数据库服务器部署，用于WIFI记录存储及与考勤系统数据对接要有AP服务器部署，用于WIFI平台应用程序部署，总部或专营店可打开应用查询报表等2. 项目范围 本项目涉及Nissan和启辰的一级专营店合计1,036家。而Nissan和启辰又分为多种级别的门店，每种类型门店的规模以及需要Wi-Fi覆盖的面积是有差异的。所以，东风日产对不同级别、

12、不同品牌的门店有如下无线AP数量的测算。类型品牌级别店数单店AP数总数合计备注一级店1036NISSAN813A12767624279B1376822C33051650D1695845E254100F119476按E级标准计算无级别6424按E级标准计算启辰223A325160876B494196C994396D19476E22244无级别224按E级标准计算 而除了上述专营店以外，东风日产还考虑到外展区域也需要覆盖无线网络。所以，本期建设的无线网络必须能够满足外展活动快速部署的要求。以下是外展区域的无线AP数量测算。类型品牌大区小区数小区AP数总数合计备注外展储2套

13、来算二、整体组网方案1. 网络总体架构 根据企业PV专营店的具体需求，本方案建议采用Aruba Instant无线网络组网方案，利用AP 集群、无线控制器（VPN Server）、AirWave网络管理系统、城市热点认证系统，实现安全、稳定、可扩展、易管理的企业无线网络。组网说明： 每个专营店根据其建筑结构和面积分别部署相应的Aruba IAP，每个专营店内部的IAP自动选举Master AP，并对专营店内部所有的IAP进行管理。数据中心部署一套AirWave网络管理系统，对所有专营店的云无线网络进行注册、监控和统一管理，包括配置管理、性能管理和故障管理，以及创建客户化的定期系统运行报表。利用

14、Aruba在互联网云端提供的免费部署辅助系统Aruba Activate，对所有专营店的无线网络进行零接触快速部署，从AP出厂到专营店现场的过程中，无需对AP进行拆包装、升版本、导配置等工作。数据中心部署一套VPN Server（无线控制器，不需要任何License，只负责建立VPN），建立该无线控制器与所有外勤专营店IAP之间的IPSec通道，用于加密封装、传输用户的认证流量以及IAP的管理流量。顾客访问互联网的用户数据流量，则通过本地线路直接进入互联网。数据中心部署城市热点的Portal服务和认证服务器，用于为顾客提供微信认证或者短信认证的服务。同时，为专PV员工和专营店员工的无线接入提供

15、802.1X认证服务。员工登录无线系统，必须通过内部帐号审核，从而实现上网人员身份确认的功能。IAP开启AppRF功能，对用户访问网络的具体应用和行为进行记录，从而实现员工上网行为审计的功能。2. 数据中心组网架构 按照规模预估，数据中心所设置的VPN集中器以及网络管理系统必须符合整网规模的容量设计，按照整网5500个Instant AP进行估算。VPN集中器整网预估2000个分支，我们建议使用Aruba 7210无线控制器作为VPN集中器，单台Aruba 7210可以支持最多8000个分支连接。由于VPN集中器涉及关键业务，必须考虑冗余热备。组网结构：配置2台7210，形成A/A模式；IAP

16、中配置一主一备VPN Server；建议把IAP分为两组，让IAP-VPN分别建立在两台7210上。网络管理平台使用Aruba AirWave网络管理平台对整网无线网络进行管理，Aruba AirWave 8.1版本以后，冗余架构将采用Database + Worker方式建立。Database需要两台服务器（必须）；Worker最多支持管理4000个设备，若需要备份，就加一台；对于Worker Server，以下Enterprise服务器是最低要求。 对于两台Database Server，由于涉及到大量数据的频繁读写，所以服务器的IOP特别重要，我们建议采用SAN或者SSD来设置存储。对于

17、10000个设备以下的企业，我们建议采用15K RPM转速的Enterprise服务器（见上面Worker Server）。3. 专营店内部组网结构专营店分别通过ADSL或其他运营商线路接入Internet，若Internet线路需要PPPoE拨号，可以通过运营商提供的Modem或者通过IAP进行拨号。专营店IAP可以通过交换机PoE供电或者供电模块来实现取电。所有IAP接入同一子网（“傻瓜式”非网管交换机），从而实现IAP自组网。所有节点VC（虚拟控制器）采用分布式三层方式组网，即客户端IP地址通过VC内置DHCP服务提供，客户端网关落在VC上，用户访问数据中心侧流量通过VC与Datacen

18、ter之间的Tunnel转发，用户访问Internet的流量通过VC做NAT地址转换。4. 专营店以及外展AP选型考虑到本项目成本规模庞大，我们建议选用Aruba高性价比产品IAP-103作为无线接入设备。IAP-103属于经济高效的紧凑型 AP ，采用 802.11n 技术，提供了每频段最高 300 Mbps 的无线数据速率，具有两个MIMO空间流。IAP-103 采用 2.4 GHz 和 5 GHz 射频，每个射频都具有 2x2:2 MIMO 和两个集成的全向下倾天线。Aruba IAP-103支持高级无线网络共存 (ACC) 功能，使得 Aruba WLAN 可以尽可能减少 3G/4G

19、LTE 网络、分布式天线系统和商业小型蜂窝网/微型基站的干扰，从而实现最佳效率。对于IAP-103的接入能力，考虑到投资成本，我们建议按照每个AP最大支持60个并发客户端连接(2.4GHz和5GHz均分)来统计。对于IAP-103的覆盖范围，在专营店展厅和车间建议按照半径20米作为估算值。而对于外展组网，我们建议选择RAP-109无线接入设备，这款产品同样是采用 802.11n 技术，同样支持高级无线网络共存 (ACC) 功能，提供了每频段最高 300 Mbps 的无线数据速率，具有两个MIMO空间流。也是 采用 2.4 GHz 和 5 GHz 射频，每个射频都具有 2x2:2 MIMO 和两

20、个集成的全向天线。与IAP-103不同的地方在于，这款产品提供了两个以太网接口，在典型的部署环境中，这种无线AP还可以延伸出一个以太网接口用于连接有线设备，比方说PC机、IP电话、打印机等。而且，这款AP还带有USB接口，便于在外展活动环境中没有ISP线路接入的场景，可以直接在AP的USB口中接入3G/4G网卡，让AP直接拨号上网。5. 总部和专营店连接模式 目前，Aruba在企业数据中心以及两个专营店部署了一套测试平台。测试平台涵盖了本期企业对于建设专营店无线网络的主要需求。 以下是测试环境的整体拓扑图。测试环境组件 本测试环境包括了数据中心部分和专营店部分。以下是测试环境中各组件的功能说明

21、。Aruba VPN Server Aruba VPN Server实际上是一台Aruba 7210无线控制器，这台设备主要的功能是为专营店无线AP提供VPN终结服务。专营店无线AP可以通过Internet使用IPSec VPN拨号至数据中心的VPN Server。此时，由于Aruba 7210无线控制器只是充当VPN Server，无需管理AP，所以不需要安装任何License。Aruba AirWave网管系统 Aruba AirWave网管系统是一套软件系统，目前安装于企业提供的服务器平台上。此套系统主要负责统一管理专营店网络，搜集无线网络的信息，包括客户端信息、网络使用信息、无线频谱信

22、息等，并且可以生成多种报表，为数据分析提供了基础数据。Aruba ALE无线探针系统 Aruba ALE无线探针系统也是一套软件系统，目前也是安装于企业的服务器平台上。此套系统主要负责搜集专营店关联以及非关联客户端的信息，即只要客户端Wi-Fi功能打开，即可探索到客户端到店。城市热点2066认证系统 城市热点2066认证系统是一台硬件设备，主要负责为专营店用户提供Portal页面和RADIUS认证服务。当客户通过Portal页面使用短信方式注册帐号，或者通过微信添加公众号方式注册帐号，并点击登录时，会出发认证请求到此台设备做RADIUS认证。认证成功以后，客户将可以获得上网权限。Aruba 专

23、营店Instant AP (IAP) 在专营店本地，我们使用Aruba Instant AP搭建无线网络。Instant AP实际上是Aruba AP的一种工作模式。在这种模式下，IAP不需要注册到无线控制器（即无需任何License），但IAP会自主组网，并选举一个虚拟控制器负责管理整个本地无线网络。IAP通过Internet线路使用IPSec VPN连接数据中心网络，为客户端认证、以及信息搜集搭建起安全的传输隧道。相关协议及端口使用 在本测试环境中，部分数据中心的核心系统需要在出口公网地址上做端口映射，为远端的专营店AP提供服务。以下是相关协议和端口的开放说明。Aruba VPN Serv

24、er，网关指向出口防火墙，在防火墙公网出口映射UDP-69和UDP-4500端口。这两个接口主要用于为远端IAP提供IPSec VPN拨入服务。Aruba AirWave网管系统，网关指向出口防火墙，在防火墙公网出口映射TCP-443端口。这个端口主要主要是用于为远端IAP提供网管接入服务，IAP指向AirWave网管系统以后，可以受总部统一管理。城市热点2066认证系统，需要在出口防火墙放通其往外访问的数据，以让此台设备可以跟城市热点云端服务（微信/短信）对接，联动工作。专营店本地IAP，只需要在本地放通IAP访问Internet，并保证其往外访问TCP-443和UDP-69/4500可以使

25、用，IAP即可受总部AirWave网管系统统一管理，同时也跟总部VPN Server建立起IPSec VPN。相关数据流说明 以下从AP初始化、接入网络、建立VPN、用户接入无线网络、认证、访问Internet等步骤进行数据流的分析。AP本地选举虚拟控制器，通过Aruba免费云服务获知网管IP，并建立连接 Aruba IAP“零配置”组网说明： 虚拟控制器自动与总部拨通VPN按需提供多种SSID，认证和数据可以选择通过VPN隧道传输，用户基于角色管理顾客连接Wi-Fi，获取Portal页面微信认证和短信认证请查阅后续章节的说明通过短信或者微信认证完毕后访问Internet员工接入Wi-Fi，通

26、过AD域返回用户属性，赋予不同的角色和上网权限关联/非关联终端的探索6. 无线信号设计根据企业PV专营店的需求，此项目所建无线网络主要是用于为顾客和PV员工提供无线网络接入服务。顾客通过与短信或者微信身份认证，员工通过域帐号认证。对于成功接入无线网络的终端，实现基于用户的限速。SSID配置如下：采用Portal认证+MAC地址认证，当用户第一次登录时，需要短信或者微信做认证，实现实名登记。当用户第二次登录或者漫游到别的专营店，由于SSID开启MAC地址认证，而我方后台数据库会保留客户端MAC地址信息，所以可以实现客户端无感知认证。该SSID与专营店内系统的外网VLAN对应，顾客终端只能访问In

27、ternet外网，不允许访问内网。员工终端可以根据需求定义路由策略，甚至可以直接访问企业数据中心侧的服务。对终端实现限速的功能页面如下，限速可以基于每个终端或者基于每个射频。除了限速以外，还可以限定每个AP接入终端数量的阀值，功能页面如下：7. 无线安全设计 借助于Aruba Instant无线网络强大的企业级安全特性，企业专营店无线网络的安全性可以从以下几方面来实现。（1）非授权设备和终端管理Aruba Instant无线网络技术提供了全面的无线入侵防范功能。 如上图所示，通过Aruba AP Cluster快速部署向导，可以在专营店启用无线入侵保护功能，分别实现对网络和终端的射频安全保护。

28、Protect-SSID功能：保护专营店网络的SSID不被非授权无线设备仿冒Rogue-containment功能：自动发现和压制连接在专营店网络上的非授权无线设备Protect-valid-station功能：防范专营店网络终端试图连接其它第三方无线网络信号 通过在AP Cluster中进一步调高无线入侵保护的等级，Aruba Instant无线网络还可以提供更多的射频安全防范特性。（2） 用户身份认证 Aruba Instant无线网络AP Cluster技术支持全面的用户身份认证机制，包括MAC认证、Portal认证和802.1X认证，能够与外置Radius/LDAP服务器整合，实现与企

29、业现有用户数据库的无缝集成。对于将会采用802.1X认证的方式进行终端身份的校验。（3）基于角色的策略控制 作为集成了Aruba控制器功能的Instant无线网络AP Cluster技术，在完成用户身份识别和认证后，还能够根据用户身份提供基于角色的防火墙策略控制功能。 Aruba AP Cluster 技术可以提供基于网络或者基于角色的防火墙策略，因此能够有效控制器各种不同身份用户的网络访问权限。（5）上网行为审计 专营店AP开启AppRF功能，对终端上网行为进行监控和管理，结合AirWave网络管理系统，可以记录终端的应用记录。 以下是AP管理界面中对无线终端当前应用的分类和Web应用的分类

30、显示：以下是针对某客户端应用的监控：以下是在AirWave网管系统中，对应用的使用量排名，点击右侧相应的应用、目的地、用户等可以列出所有应用记录：以下是点击应用“Applications”以后，系统列出所有应用使用量的显示：以下是选择某个指定用户以后，显示其访问过的http记录。三、短信和微信认证（城市热点后台）1. 相关功能组件 为了给客户提供微信认证和短信认证的功能，在测试阶段，我方在数据中心部署了一套城市热点2066系统，此套系统主要用于给客户提供Portal页面和转发客户关注微信、发送短信、以及认证请求的功能。而在云端，目前使用城市热点的公有云平台中心，这套系统主要为用户提供短信和微信

31、认证服务。2. 用户注册认证流程 客户从连接无线网络SSID，到获取Portal页面，到输入手机号注册或者通过二维码关注微信公众号，然后到使用手机短信密码登录或者关注微信公众号一键登录，整个过程将会使用到上述功能组件。以下是注册认证流程图。3. 微信认证原理 客户首先会通过无线SSID接入网络，这时候我方系统只会给该客户开通微信服务功能。同时，客户打开浏览器访问，将会收到Portal页面，在Portal页面中获知企业的公众号/二维码，或者在现场找到二维码。然后，客户通过微信的扫一扫功能，或者直接搜索公众号名字，对企业公众号进行添加关注。关注完毕以后，可以直接通过一键登录方式，点击图标即可上网。

32、 4. 短信认证原理 客户在Portal页面中输入自己的手机号码，点击“获取验证码”，此时在云平台注册服务器中已经给客户开通帐户和密码，帐户为客户手机号，密码将通过手机短信方式发送给客户。最后，客户使用短信收回来的密码在Portal页面中完成登录动作，即可上网。5. 最终交付拓扑结构及系统功能 考虑到目前属于售前测试阶段，所以测试拓扑中的公有云平台的微信和短信认证服务目前没有部署在企业数据中心。而本项目如果我方有幸中标，那我们计划把微信和短信认证服务直接部署在数据中心，保证数据安全不泄露。 此时，在数据中心内部只需要部署一套城市热点2099设备，里面包含私有云平台，客户的认证信息将会存储在本地

33、。只是给客户发送短信或者做微信互动交流时，会利用远端的服务。以下是城市热点2099设备（含私有云服务）的功能清单。项目功能模块描述说明个性化Portal模块页面定制提供页面定制及开发服务，支持不同浏览器页面的开发，如PC和手机的支持页面推送根据不同浏览器类型或终端类型进行个性化页面推送，可根据SSID/IP/VLAN推送个性化页面页面自定义设计提供丰富的页面自定义设计接口功能，浏览器所见即所得的页面自行设计和发布用户账号管理提供丰富的账号管理和账号开停机功能和自定义配置账号属性浏览器识别自动识别所有主流浏览器类型并推送无线终端自适应自动匹配各类型无线终端，并推送自匹配页面分辨率在线账号管理在线

34、用户账号、IP、MAC、流量等实时查看和管理用户日志用户上网日志信息及登录记录管理操作日志管理员各类型操作日志管理系统日志系统运行状态日志认证模块短信动态密码认证为无线便携终端提供WEB PORTAL认证，用户点击获取动态密码即自动生成手机号为账号，动态密码为认证密码的功能微信认证（结合云平台实现）为微信用户提供极为便利的认证体验，用户只需打开微信扫描商城认证二维码，并关注商城官方微信公众服务号，即可在微信云端为用户自动生成的账号，并在云端自动绑定其微信账号，用户点击获取密码，系统在微信端自动推送认证登陆按钮链接，点击即可完成商城WIFI登陆无感知认证园区内跨区域（或AP）覆盖切换无需二次人工

35、登录，自动认证，用户无感知QQ认证基于用户QQ号并授权允许QQ账号+密码登陆WIFI（非测试项目，可开发）微博认证基于新浪微博的认证功能（非测试项目，可开发）四、后台管理1. 网络层面数据分析 通过AirWave网络管理系统，可以实时分析全网无线网络使用情况，包括每个专营店的客户端连接数量、使用带宽、应用审计等。 通过AirWave网络管理系统，可以分析每个专营店的历史使用情况。下图就是我们针对花都万江启辰店测试环境中获取的数据。 通过AirWave网络管理系统，可以针对某些客户端进行排障，分析网络问题的根源。这项功能特别适合于IT部门为企业高管或者关键业务终端在排除网络故障时使用。 通过Ai

36、rWave网络管理系统，可以自定义报表，选择需要查看的时间段、专营店、SSID等，可以获得精准的数据分析。2. 认证后台数据分析 通过城市热点认证后台，可以分析特定时间段内的客户到访规律。 通过城市热点认证后台，可以分析顾客的分布情况。 通过城市热点认证后台，可以查询用户的微信、手机号等相关信息。 通过城市热点认证后台，可以实时查看当前在线客户端的信息。 通过城市热点认证后台，可以评比活跃终端数量的专营店。 通过城市热点认证后台，可以了解特定时间段内的网络使用趋势。五、产品清单数据中心部分：产品型号描述数量VPN Server（硬件）7210Aruba 7210 Mobility Contro

37、ller with 4x 10GBase-x (SFP/SFP+) and 2x dual media (10/100/1000BASE-T or SFP) ports. Includes one 350W AC power supply. 2PSU-350-AC350W AC Power Supply. May be used as a redundant power supply or field-replaceable spare for 7200 Series, S3500-24T and S3500-48T.2无线网管系统（软件）AW-2500AirWave license for

38、2500 devices2AW-500AirWave license for 500 devices1ServerHigh Performance Server3无线探针系统（软件）LIC-ALE-11 AP license for ALE. ALE will need to be licensed for the number of APs that are feeding information into it. Minimum 50 AP purchase.5,155ServerHigh Performance Server3专营店认证管理平台（软硬件）2099-6000G2U千兆硬件，

39、60000并发，30万注册账号，内置256G SSD硬盘，包括：O2O 网关模块：1 内置用户管理模块；2 服务策略配置模块：3 Portal模块；4 网络配置模块；5 Radius Client配置 6：简易报表模块云平台基础服务模块：1、用户管理模块：查询、开户、停机、开机、销户、变更，在线列表，上网详单；2、微信方式自注册；（1、微信公众服务号与订阅号信息采选与同步；微信账号获取与动态密码下发；微信中继接口应用；）3、短信方式自注册；（1、短信自注册配置；短信充值；（1000条起充值日志；短信发送日志；）4、统计报表功能5、无线考勤6、后台分析每家门店的客流和到店情况7、支持无线考勤，需

40、要利用无线网络对特定员工终端进行考勤，记录其进出某家门店的时间2CLOUD-30万支持6万并发，30万注册账号，包括以下系统：1 高性能Radius服务器（软件） 2 用户管理平台（软件）1）用户管理模块：查询、开户、停机、开机、销户、变更，在线列表，上网详单；2）微信方式自注册；（1、微信公众服务号与订阅号信息采选与同步；微信账号获取与动态密码下发；微信中继接口应用；3）短信方式自注册；（1、短信自注册配置；短信充值；（1000条起订）短信充值日志；短信发送日志；）4）统计报表功能 5 内置MySQL数据库1软件开发1专营店部分：产品型号描述数量无线接入点IAP-103Aruba IAP-1

41、03 Wireless Access Point, 802.11n, 2x2:2, dual radio, integrated antennas5,155AP-220-MNT-C1AP-220 Series Ceiling Rail Mount Kit V15,155外展储备：产品型号描述数量无线接入点RAP-109Aruba RAP-109 Remote Access Point, 802.11a/b/g/n, 2x2:2, dual radio, integrated antennas330六、解决方案优势1. Aruba Instant无线网络解决方案Aruba Instant无线网络

42、能够在802.11n接入点 (AP) 上实现智能集群化组网，是目前唯一的一款能够把企业级的特性和功能与独立WLAN的经济性与简洁性完美结合的解决方案。Aruba Instant无线网络具有直观的用户界面，使您可以几分钟内实现无线网络部署，而且无需放弃企业级无线网络的安全性、自适应性和使用方便性。Aruba Instant无线网络的重要特性包括：本地网络采用统一管理的设计，通过直观的用户界面提供了完整的管理控制功能，降低了部署成本和复杂度。自组织（Self-organizing）AP可以瞬间找到网络并添加到网络上，而自动射频/通道管理功能可以确保实现最优覆盖。内置基于角色的无线状态防火墙，能够基

43、于用户身份实现差异化的策略控制功能，大大简化对无线用户的权限管理。部署轻松、配置简单、使用方便集中式的配置和监视，向导引导安装直观简单，即插即用简洁方便。2. Aruba Instant无线网络优势与传统的胖AP和控制器+瘦AP解决方案相比，Aruba Instant网络解决方案在企业级网络需求和简化运维管理、降低网络成本之间取得了完美平衡，具有以下技术优势：系统采购和部署成本低采用本地AP集群的方法，自动选举Master AP对其他AP和用户进行管理控制；不需要购买控制器的软件许可；不需要购买AP的PEFNG和RFP软件许可。系统运行和管理成本低通过AP集群的图形化引导页面进行系统配置，几分

44、钟内完成快速部署；新增加AP与Master AP自动同步，不需要重新进行配置，大大减少部署及管理的难度；被选举为Master AP的无线接入点出现故障时，系统自动选举新的Master AP，并自动应用系统现有配置，实现网络自愈；支持AirWave网管系统自动注册功能，能够实现对所有分支站点设备和用户的统一监控和管理，并提供历史报表。满足各种企业级功能需求支持自动射频优化功能，AP之间支持智能的信道/功率自动调控，遇到干扰时，主动避开干扰信号；某一台AP故障时，旁边的AP自动放大功率来填补故障AP区域的信号；支持MAC、Web Portal、802.1X/EAP-PEAP和802.1X/EAP-

45、TLS等多种企业级认证技术，支持AES加密；能够与企业认证系统无缝集成，实现动态VLAN分配和策略控制，同时提供本地帐号认证功能，避免因广域网线路故障导致的网络不可用；具备内置的无线状态防火墙，提供基于用户身份的安全策略和服务质量；支持多种话音信令，提供多媒体业务的质量保证，优化各类语音及视频应用；支持无线终端快速漫游，为语音及企业应用的移动性提供保障；支持无线入侵保护功能，能够自动发现和压制非授权无线设备；支持无线Mesh组网功能，在不便于布线的区域通过Mesh自动组网；具备系统自愈功能，当被选举为Master AP的无线接入点出现故障时，系统自动选举新的Master AP，并自动应用系统现

46、有配置，保障企业业务不受影响；支持对终端应用进行识别，并在管理系统中进行记录，满足终端上网审计的要求。满足企业的设备投资保护需求支持与瘦AP或远程AP的转换，无需更换硬件，就可以应用到瘦AP+无线控制器的网络环境，保护企业现有投资。3. 针对本项目的特别优势针对企业PV专营店无线网络建设项目，我方解决方案具有以下特别的技术优势：专营店网络简易部署，本地网络无需做任何改动，AP即插即用。专营店与自动与总部建立VPN，路由双向可达，总部无需考虑专营店IP地址分配问题。网络统一管理，无论是对专营店AP配置的管理，还是搜集数据，都是轻而易举的事情。Portal页面统一管控，同时提供短信和微信认证服务，

47、最大程度的获取客户信息。提供无感知认证服务，无论是客户还是员工，都可以实现店面之间的无缝漫游和免认证。提供非关联终端识别功能，分析专营店顾客热度，提供更详尽的员工考勤数据。客户端基于角色的管控，尽管是接入相同的SSID，可根据员工身份提供差异化网络策略。AP支持USB接口连接3G/4G网卡，适合各种外场临时部署Wi-Fi的应用。与其他竞争对手解决方案对比，Aruba Instant解决方案可以为专营店提供多个SSID服务。同时，每个SSID可以推应不同的认证策略。甚至针对相同的SSID，不同属性的终端接入时，可以赋予不一样的上网权限（Role），比方说下图的SSID：Staff。对于其他Wi-

48、Fi解决方案来说，Aruba还有明显的优势，因为这些解决方案具有很多限制性。七、上网审计网关解决方案（可选）1. 部署架构对于满足82号令要求的网关设备产品，我方推荐Etone公司产品，以下是部署结构：利用专营店店原有的互联网出口，（或者新增线路）可以增加公共WIFI接入部分。移动位置服务、认证服务、无线网管部署在总部或数据中心内，通过广域网链路或者VPN隧道对全国所有门店的AP进行配置、管理和射频调整。系统建成后，现有广域网中只会增加无线控制器和AP之间的控制、认证流量。门店内顾客的数据流量会直接被门店内部的基础网络本地转发，所以网络建设完成后对广域网专线造成的压力非常小。总部的无线控制器结

49、合无线网管、移动服务引擎、身份认证引擎，大数据分析引擎可以实现：无线控制器结合无线网管可以实现全国范围内的统一监控、管理、配置、规划、报表等功能；无线控制器结合身份认证服务引擎可以为门店员工提供身份安全认证能力；无线控制器结合移动服务引擎及大数据分析引擎可以为门店内的顾客提供基于位置的应用服务，为零售公司提供客户行为的大数据挖掘能力；同时利用专业AP的多SSID能力，可以提供多个不同安全访问等级，供门店不同类型用户使用WIFI。专业AP支持中文SSID能力，可以吸引更多的国内客户访问。多PORTAL 能力可以根据用户接入的SSID，用户组类别，以及时间和其他区分条件，弹出不同的PORTAL，且

50、可以按认证前、认证后进行不同的内容推介。2. 审计网关Etone 云服务安全网关（Etone Cloud Security Gateway, 简称ECSG）是遵循网安部门要求开发的，为已经接入了Internet的企业用户量身定制了云服务安全网关，ECSG为企业网络提供了有效的安全措施，从接入层面上保护网络不受攻击，保证只有经过验证的用户可以访问网络资源，并且可以对接入终端实现丰富的管理和统计功能。 Etone ECSG配置在企业连接Internet的主干，实现企业内网对Internet的访问控制功能，它的主要任务是保证企业对外的Internet资源不被非法使用和访问，限制只有经过ECSG验证的

51、用户方可对Internet进行访问，并接入ESCG的审计和监控，并对用户的Internet行为进行记录。ECSG平台可以提供宣传广告服务，让用户在免费使用网络的同时，主动接收企业的宣传广告。ECSG可以单台工作，也可以多台协同工作，对于一些连锁企业，可以建立一个企业网络管控中心，对各个门店的ECSG进行统一认证，统一规划各门店的广告管理，由此主要采用云服务集中管控的模式来部署ECSG系统。云服务集中管控模式 ECSG平台+ECSG-3000.包括2部分：ECSG Cloud Service Gateway (ECSG) 数据管理中心ECSG-3000 网关。ECSG平台工作在核心端的数据中心，

52、完成以下功能:-远程管理网关-远程部署网关内置Portal页面-与网关同步用户上网行为及相关数据-与外部CRM对接，完成会员身份认证-记录用户身份信息（会员号、手机号码等）ECSG-3000 网关有多种型号，分别可以支持100-100000人的同时上网接入，在单点进行上网门户推送、认证、网安审计，在ECSG的统一管控下进行认证、日志上传、服务门户、QOS和业务控制推送等功能。作为对比，单机版出口网关 ECSG-3000配置在企业连接Internet的出口位置，实现企业内网对Internet的访问控制功能，它的主要任务是保证企业对外的Internet资源不被非法使用和访问，限制只有经过ECSG验

53、证的用户方可对Internet进行访问，并接入ESCG的审计和监控，并对用户的Internet行为进行记录。平台采用WEB方式管理，IT人员通过浏览器登录ECSG网关的WEB页面 网络及时进行监控、设置。WEB的管理方式适合各种网络构架的企业使用， 无需复杂的操作就可以对网络接入情况进行监控和管理。3. 测试效果 实现短信以及微信登录。 以下是在云端后台对节点的上网记录（URL）进行审计。关联用户和非关联用户的统计，以及客户访客批数的统计。上网行为审计网关后台系统调通了考勤表功能，可以实现人员签到的功能。后台系统可以添加员工信息。后台系统可以显示非关联终端的详细信息。后台系统可以显示Wi-Fi

54、使用时间的统计。八、产品说明1. AirWave无线网络管理平台Aruba的AirWave可帮助IT企业高效管理快速变化的企业网络，支持不断增加的移动员工队伍。移动性为IT部门带来了新的挑战，不仅要能够对影响服务质量的所有因素(RF环境、控制器、有线基础架构和接入点(AP)一目了然，而且还要能够采用智能的、基于身份的方法来管理网络。AirWave通过一个集中、直观的用户界面，为IT提供高效管理当前移动企业网络所需的清晰度和控制功能，包括提供实时监控、主动报警、历史报表和快速、高效的故障排除。使用VisualRF的定位和地图功能，AirWave可以显示整个企业RF环境的完整视图。通过生成一幅Wi

55、-Fi覆盖热区图及底层有线网络拓扑图，AirWave VisualRF可以清晰、精确地显示出谁在网络中，他们的位置以及网络的运行情况等。如果与ArubaOS RFprotect频谱分析和无线入侵防护软件配合使用，AirWave RAPIDS还能采集恶意接入点和无线入侵事件，然后将这些数据与有线网络数据相关联，并突出显示可能性最高的威胁事件，从而可以大幅降低虚警率，大幅提高网络安全性。通过其易于使用的界面和基于身份的网络接入方法，AirWave允许服务台人员对连接故障进行分类，以便IT工程师可以集中精力进行网络性能的主动优化。AirWave既可以作为一套纯软件系统，也可以作为一套组合了软、硬件系

56、统的装置提供给用户，Airwave降低了网络运维成本和复杂性，提高了服务质量，并能够帮助IT对网络设计做出明智的决策。2. IAP-103IAP-103属于经济高效的紧凑型 AP ，采用 802.11n 技术，提供了每频段最高 300 Mbps 的无线数据速率，具有两个MIMO空间流。IAP-103 采用 2.4 GHz 和 5 GHz 射频，每个射频都具有 2x2:2 MIMO 和两个集成的全向下倾天线。Aruba IAP-103支持高级无线网络共存 (ACC) 功能，使得 Aruba WLAN 可以尽可能减少 3G/4G LTE 网络、分布式天线系统和商业小型蜂窝网/微型基站的干扰，从而实

57、现最佳效率。为了消除用户漫游时的粘滞客户端行为，Aruba 103 系列 AP 采用了专利 ClientMatch 技术，这一技术可以从移动设备连续收集会话性能指标。如果移动设备远离某个 AP 的范围或存在 RF 干扰影响性能，ClientMatch 会自动将设备引导到更好的 AP。针对 LYNC 的服务质量Aruba 103 系列 AP 还支持针对同一个设备上的单独 Microsoft Lync 媒体执行优先级处理和策略实施，包括加密视频会议、语音、在线交谈和桌面共享。业内最佳的 RF 管理所有 Aruba AP 均包括自适应射频管理 技术，这对于打造最可靠的高性能 WLAN 至关重要。AR

58、M 管理 2.4 GHz 和 5GHz 频段，以优化 Wi-Fi 客户机性能并确保 AP 免于 RF 干扰。Aruba 103 系列 AP 可配置为提供部分时间或专门的无线监视功能，用于频谱分析和无线入侵防护，也可提供 VPN 隧道用于延伸远程位置以访问公司资源，还可以在没有以太网连接时提供无线网状网络连接。高级特性频谱分析能够在部分时间或专门用于无线监视，频谱分析器可远程扫描 2.4 GHz 和 5 GHz 频段以确定 RF 干扰源。安全性采用 OpenDNS 服务订阅，Aruba Instant RAP 为连接到WLAN 的每台设备 提供了集成的网页过滤、恶意软件和botnet 保护功能集

59、成可信平台模块 (TPM) 用于安全存储凭据和密钥使用 SecureJack，用于提供安全的有线以太网通信无线射频规格AP 类型：室内，双射频，5 GHz 和 2.4 GHz 802.11n 2x2:2可软件配置的双射频，支持 5 GHz（射频 0）和 2.4 GHz（射频 1）22 MIMO，两个空间流以及最高 300 Mbps 无线数据速率支持的频段（适用各国家/地区特定的限制）：2.4000 到 2.4835 GHz5.150 到 5.250 GHz5.250 到 5.350 GHz5.470 到 5.725 GHz5.725 到 5.850 GHz可用信道：取决于配置的监管区域动态频率

60、选择 (DFS) 优化了对可用 RF 频谱的使用支持的射频技术：802.11b：直接序列扩展频谱 (DSSS)802.11 a/g/n:正交频分复用 (OFDM)支持的调制类型：802.11b：BPSK，QPSK，CCK802.11a/g/n：BPSK，QPSK，16-QAM，64-QAM发射功率：可以按 0.5 dBm 的增量配置最大（聚集、提供总量）发射功率（受本地法规要求限制）：2.4 GHz 频段：+21 dBm（每链 18 dBm）5 GHz 频段：+21 dBm（每链 18 dBm）高级无线网共存 (ACC) 可将手机网络的干扰降到最低最大比率合并 (MRC) 以提高接收装置性能循